详解H3C交换机“端口安全”功能

以下内容摘自正在全面热销的最新网络设备图书“豪华四件套”之一——《H3C交换机配置与管理完全手册》（第二版）（其余三本分别是：《Cisco交换机配置与管理完全手册》（第二版）、《Cisco路由器配置与管理完全手册》（第二版）和《H3C路由器配置与管理完全手册》（第二版） )。目前在京东网、当当网、卓越网、互动出版网等书店全面热销中，购买该套装将直减30元，详情点击：

http://book.dangdang.com/20130730_aife

http://item.jd.com/11299332.html

http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801

17.1 H3C交换机端口安全基础

我们在《Cisco交换机配置与管理完全手册》（第二版）第21章中介绍了Cisco IOS交换机系统中的“端口安全”功能，允许通过配置静态安全MAC地址实现仅允许固定设备连接，也允许在一个端口上配置一个最大的安全MAC地址数，仅允许在此数之前识别到的设备连接在该端口上。当超过了所设置的最大安全端口数，将触发一个安全违例事件，在端口上配置的一个基于违例行为模式的违例行为将被执行。如果在某个端口上配置的最大安全MAC地址数为1，则设备上的该安全端口仅允许与固定设备连接。

但H3C交换机中的“端口安全”（Port Security）与Cisco设备中的“端口安全”功能并不完全一样，它是一种对网络接入进行控制的安全机制（防止非法接入），是对已有的IEEE 802.1x认证和MAC地址认证的扩充。H3C交换机中的端口安全主要功能就是用户通过定义各种安全模式，来控制端口上的MAC地址学习或对用户进行认证，从而让设备学习到合法的源MAC地址，以达到相应的网络管理效果。在H3C交换机上启用了端口安全功能之后，对于交换机不能通过安全模式学习到其源MAC地址的报文，系统将视为非法报文；对于不能通过IEEE 802.1x认证或MAC地址认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。

17.1.1 H3C交换机端口安全特性和模式

H3C以太网交换机的基本端口安全模式可分为两大类：控制MAC学习类和认证类。控制MAC学习类无需认证，包括端口自动学习MAC地址和禁止MAC地址学习两种模式；认证类则是利用MAC地址认证或IEEE 802.1x认证机制来实现，包括单独认证和组合认证等多种模式。

配置了安全模式的端口上收到用户报文后，首先查找MAC地址表，如果该报文的源MAC地址已经存在于MAC地址表中，则端口转发该报文，否则根据端口所在安全模式进行相应的处理（学习、认证），并在发现非法报文后触发端口执行以下相应的安全防护特性：

l Need To Know（NTK）

Need To Know（需要知道）特性通过检测从端口发出的数据帧的目的MAC地址，保证数据帧只能被发送到已经通过认证或被端口学习到的MAC地址所属的设备或主机上，从而防止非法设备窃听网络数据。

l Intrusion Protection（***防御）

***防御特性指通过检测从端口上接收到的数据帧的源MAC地址，对接收非法源MAC地址的报文的端口将采取相应的安全策略，包括端口被暂时断开连接、永久断开连接或MAC地址被过滤（默认3分钟，不可配置），以保证端口的安全性。

l Trap警告

Trap警告特性是指在端口有特定的数据包（非法***，或有用户上、下线）传送时，确定设备是否发送Trap信息，便于网络管理员对这些特殊的行为进行监控。

H3C以太网交换机可用的端口安全模式说明如表17-1所示，不同模式有不同的工作机制和特性支持。但要注意，并不是每款机型都支持端口安全配置，也不是每款机型都支持表中全部的端口安全模式。如S3610、S5510、S7500、S9500、S9500E等系列不支持端口安全配置；也有一些H3C以太网交换机并不支持表17-1中的全部端口安全模式，具体将在表中注明。主要支持端口安全配置的系列包括：S3600、S5600、S5510-SI/EI、S58、S7500E等系列。

表17-1 端口安全模式描述表

安全模式

特性支持<span "="" style="word-wrap: break-word;">


默认模式	noRestrictions	表示端口的安全功能关闭，访问不受限制	不支持
端口控制MAC地址学习情形下的安全模式	autoLearn	端口可通过手工配置或自动学习安全MAC地址，然后被添加到安全MAC地址表中。只有源MAC地址为安全MAC地址、手工配置的MAC地址的报文，才能通过该端口。当端口下的安全MAC地址数超过端口允许学习的最大安全MAC地址数后，端口模式会自动转变为secure模式，停止添加新的安全MAC地址，这与Cisco IOS交换机的端口安全功能是一样的	当设备发现非法报文后，将触发NTK特性和***防御特性
端口控制MAC地址学习情形下的安全模式	secure	禁止端口动态学习新的MAC地址，只有源MAC地址为端口上原有的安全MAC地址、手工配置的MAC地址的报文才能通过该端口	当设备发现非法报文后，将触发NTK特性和***防御特性
端口采用IEEE 802.1x认证情形下的安全模式	userLogin	对接入用户采用基于端口的IEEE 802.1x认证。此模式下，端口下的第一个IEEE 802.1x用户认证成功后，其他用户无须认证就可接入，有关H3C以太网交换机的IEEE 802.1x认证相关知识和配置将在本书第21章介绍	不支持
	userLoginSecure	对接入用户采用基于MAC地址的IEEE 802.1x认证（相当于在《Cisco交换机配置与管理完全手册》第23章介绍的Cisco IOS交换机IEEE 802.1x认证中的旁路MAC地址认证（MAB））。此模式下，端口最多只允许一个IEEE 802.1x认证用户接入（也就是在Cisco IOS交换机中所说的IEEE 802.1x单主机模式）	当设备发现非法报文后，将触发NTK特性和***防御特性
	userLoginWithOUI	该模式与userLoginSecure模式类似，但端口上除了允许一个IEEE 802.1x认证用户接入之外，还额外允许一个特殊用户接入，该用户报文的源MAC地址的OUI（Organizationally Unique Identifier，全球唯一标示符，是MAC地址的前24位）与设备上配置的OUI值相符。在用户接入方式为有线的情况下，对IEEE 802.1x报文进行IEEE 802.1x认证，对非802.1x报文直接进行OUI匹配，IEEE 802.1x认证成功和OUI匹配成功的报文都允许通过端口
	userLoginSecureExt	与userLoginSecure模式类似，但端口下的IEEE 802.1x认证用户可以有多个（也就是在Cisco IOS交换机中所说的IEEE 802.1x多主机模式）
端口采用MAC地址认证情形下的安全模式	macAddressWithRadius	对接入用户采用MAC地址认证，允许多个用户接入
端口采用IEEE 802.1x 和MAC地址认证组合认证情形下的安全模式	macAddressOrUserLoginSecure	MAC地址认证和IEEE 802.1x认证可以同时共存，但IEEE 802.1x认证优先级大于MAC地址认证；接入用户通过MAC地址认证后，仍然可以进行IEEE 802.1x认证；接入用户通过IEEE 802.1x认证后，不再进行MAC地址认证。此模式下，端口最多只允许接入一个经过认证的IEEE 802.1x用户，但端口下经过认证的MAC地址认证用户可以有多个
	macAddressElseUserLoginSecure	接入用户可以进行MAC地址认证或IEEE 802.1x认证，当其中一种方式认证成功则表明认证通过。此模式下，端口最多只允许接入一个经过认证的IEEE 802.1x用户，但端口下经过认证的MAC地址认证用户可以有多个
	macAddressOrUserLoginSecureExt	与macAddressOrUserLoginSecure安全模式类似，但允许端口下有多个IEEE 802.1x和MAC地址认证用户
	macAddressElseUserLoginSecureExt	与macAddressElseUserLoginSecure安全模式类似，但允许端口下有多个IEEE 802.1x和MAC地址认证用户
	macAddressAndUserLoginSecure（仅S3100、S5510-SI/EI和S5600系列支持）	对接入用户先进行MAC地址认证，当MAC地址认证成功后，再进行IEEE 802.1x认证。只有在这两种认证都成功的情况下，才允许该用户接入网络；此模式下，端口最多只允许一个用户接入网络
	macAddressAndUserLoginSecureExt （仅S3100、S5510-SI/EI和S5600系列支持）	与macAddressAndUserLoginSecure模式类似。但此模式下，端口允许接入网络的用户可以有多个

由于安全模式种类较多，为便于记忆，可对表17-1中的部分端口安全模式名称的构成按如下规则理解（或者说是对这些安全模式进行宏观分类）：

l 带有“userLogin”的模式表示支持基于端口的IEEE 802.1x认证；带有“macAddress”的模式表示支持基于MAC地址认证；带有“Secure”的userLogin模式表示支持基于MAC地址的IEEE 802.1x认证（也就是Cisco IOS交换机中所说的IEEE 802.1x旁路MAC地址认证）。

l 带有“Else”的模式中，“Else”之前的认证模式先被采用，失败后根据请求认证的报文协议类型决定是否转为“Else”之后的认证方式；带有“Or”的模式中，“Or”连接的两种认证方式无固定生效顺序，设备根据请求认证的报文协议类型决定认证方式。

l 带有“Ext”表示可允许多个IEEE 802.1x用户认证成功（也就是支持IEEE 802.1x多主机认证模式），不携带则表示仅允许一个IEEE 802.1x用户认证成功（也就是仅支持IEEE 802.1x单主机认证模式）。

l 当多个用户通过认证时，端口下所允许的最大用户数根据不同的端口安全模式，取配置的最大安全MAC地址数与相应模式下允许认证用户数两者之中的最小值。例如，userLoginSecureExt模式下端口下所允许的最大用户为所配置的最大安全MAC地址数与IEEE 802.1x认证所允许的最大用户数的最小值。

l 在userlogin安全模式下，NTK特性和Intrusion Protection特性不会被触发。其他模式下，当设备发现非法报文或非法事件后，将触发NTK特性和Intrusion Protection特性。

l 当端口工作在userLoginWithOUI模式下时，即使OUI地址不匹配，也不会触发Intrusion Protection特性。

macAddressElseUserLoginSecure或macAddressElseUserLoginSecureExt安全模式下工作的端口，对于同一个报文只有在MAC地址认证和IEEE 802.1x认证均失败后，才会触发Intrusion Protection特性。

17.1.2 详解端口安全模式工作原理

在上节的表17-1中介绍了H3C以太网交换机中各种环境下的多种端口安全模式，本节具体介绍这些安全模式的工作原理。

1．autoLearn模式与secure模式

在autoLearn（自动学习）模式下，可通过手工配置或通过动态进行MAC学习，此时得到的MAC地址称为Secure MAC（安全MAC地址）。在这种模式下，只有源MAC为Secure MAC的报文才能通过该端口；但当端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后，该端口不会再添加新的Secure MAC，并且端口模式会自动转变为secure。

如果直接将端口安全模式设置为secure模式，则将禁止端口学习新的MAC地址，只有已配置的静态或动态MAC的报文才能通过该端口。

根据以上描述，可以得出在autoLearn和secure模式下报文处理流程如图17-1所示。

图17-1 autoLearn模式与secure模式报文处理流程图

2．单一IEEE 802.1x认证方式

从表17-1可以看出，采用单一IEEE 802.1x认证方式的端口安全模式包括以下几种：

l userLogin：对接入用户采用基于端口的IEEE 802.1x认证。

l userLoginSecure：对接入用户采用基于用户MAC地址的IEEE 802.1x认证（也就是Cisco IOS交换机中所说的MAB），认证成功后端口开启，但也只允许认证成功的用户报文通过。此模式下，端口最多只允许接入一个经过IEEE 802.1x认证的用户（即IEEE 802.1x单主机模式）。

l userLoginSecureExt：与userLoginSecure类似，但端口下的IEEE 802.1x认证用户可以有多个（即IEEE 802.1x多主机模式）。

l userLoginWithOUI：与userLoginSecure类似，端口最多只允许一个IEEE 802.1x认证用户，但同时端口还允许一个OUI地址的报文通过。

因为H3C以太网交换机的IEEE 802.1x认证将在本书第21章专门介绍，故在此不再赘述。

3．MAC地址认证

在表17-1中支持MAC地址认证的端口安全模式为macAddressWithRadius。它可对接入用户采用MAC地址的认证。

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。如果该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被添加为静默MAC。在静默时间内（可通过静默定时器配置），来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。

目前AH3C设备支持两种方式的MAC地址认证，通过RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器进行远程认证和在接入设备上进行本地认证。有关H3C以太网交换机的RADIUS服务器认证方式将在本书第18章专门介绍；有关MAC地址认证将在本章17.5节介绍。

4．and方式

在表17-1中所列的端口安全模式中，采用and方式（也就是同时采用）的端口安全模式包括以下两个：

l macAddressAndUserLoginSecure：接入用户首先进行MAC地址认证，当MAC地址认证成功后再进行IEEE 802.1x认证。只有在这两种认证都成功的情况下，才允许该用户接入网络。此模式下，端口最多只允许一个用户接入网络。

l macAddressAndUserLoginSecureExt：与macAddressAndUserLoginSecure类似。但此模式下，端口允许接入网络的用户可以有多个。

根据以上描述得出这两种and方式的端口安全模式的报文处理流程如图17-2所示。

图17-2 and方式下端口安全模式的报文处理流程图

5．else方式

在表17-1中所列的端口安全模式中，采用else方式（也就是多选一方式）的端口安全模式包括以下两个：

l macAddressElseUserLoginSecure：对接入用户首先进行MAC地址认证，如果成功则表明认证通过，如果失败再进行IEEE 802.1x认证。此模式下，端口最多只允许接入一个用户经过IEEE 802.1x认证，但端口下可以有多个通过MAC地址认证。

l macAddressElseUserLoginSecureExt：与macAddressElseUserLoginSecure类似。但此模式下，端口允许多个用户通过IEEE 802.1x认证。

根据以上描述得出这两种else方式的端口安全模式的报文处理流程如图17-3所示。

图17-3 else方式下端口安全模式的报文处理流程图

6．or方式

在表17-1中所列的端口安全模式中，采用or方式（也就是多选方式）的端口安全模式包括以下两个：

l macAddressOrUserLoginSecure：接入用户通过MAC地址认证后，仍然可以进行IEEE 802.1x认证；但接入用户通过IEEE 802.1x认证后，不再进行MAC地址认证。此模式下，端口最多只允许接入一个经过认证的IEEE 802.1x用户，但可以有多个经过基于MAC地址认证的用户。

l macAddressOrUserLoginSecureExt：与macAddressOrUserLoginSecure类似。但此模式下可以允许多个通过IEEE 802.1x认证的用户。

根据以上描述得出这两种or方式的端口安全模式的报文处理流程如图17-4所示。

图17-4 or方式下端口安全模式的报文处理流程图